Ιόνιο ΠανεπιστήμιοΤμήμα ΠληροφορικήςΑκαδημαϊκό Έτος 2012-2013Εξάμηνο: Δ’

Ασφάλεια Υπολογιστών και Προστασία Δεδομένων

Ενότητα Δ: Μοντέλα Εξουσιοδότησης (Authorization)

Εμμανουήλ Μάγκος

Syllabus

1. Μοντέλα και Πολιτικές Ελέγχου Πρόσβασης (Εξουσιοδότησης) Έλεγχος ροής κυκλοφορίας (information flow control) Πολιτικές MAC, DAC, RBA

2. Έλεγχος Πρόσβασης Συστήματος και Ασφάλεια Λ.Σ Το μοντέλο Ασφάλειας των Windows

3. Άλλα Θέματα στον Έλεγχο Πρόσβασης Επίπεδα Προστασίας Κριτήρια για την Πρόσβαση Διαχείριση Ελέγχου Πρόσβασης Άλλα θέματα

4. Καταγραφή & Παρακολούθηση, Ανίχνευση Logging and Monitoring Intrusion Detection & Intrusion Prevention

1. Authorization & Information Flow Control

Έλεγχος Λογικής Πρόσβασης & Εξουσιοδότηση (Authorization)

Έλεγχος Λογικής Πρόσβασης & Εξουσιοδότηση (Authorization)

Αντικείμενα (objects)

Υποκείμενα (Subjects)

Τύπος Πρόσβασης

π.χ. πόροι που χρειάζονται προστασία (μνήμη, αρχεία, φάκελοι, υπηρεσίες, συσκευές,.)

π.χ. Εφαρμογές που ζητούν πρόσβαση σε πόρους, εν’ ονόματι μιας οντότητας (χρήστες, Ομάδες, Η/Υ..)

π.χ. Ανάγνωση, Εγγραφή, Εκτέλεση..

Πολιτική Εξουσιοδότησης: Κανόνες που καθορίζουν ποια υποκείμενα έχουν τι είδους πρόσβαση σε ποια αντικείμενα

Έλεγχος Λογικής ΠρόσβασηςΣυστατικά Στοιχεία

Referencemonitor

op on o

s oop

s

ΚαταγραφήΕξουσιοδότησηΤαυτοποίηση

Ποιος είναι ο s; Τι op μπορεί

να κάνει ο s στο o;

Τι έκανε (ή προσπάθησε να κάνει ο

s;)

Έλεγχος Λογικής ΠρόσβασηςΣυστατικά Στοιχεία

1. Τεχνολογίες Αυθεντικοποίησης Αυθεντικοποίηση Οντότητας (π.χ. Passwords, Challenge-Response,…)

2. Πολιτική Εξουσιοδότησης Ένα μοντέλο καθορισμού των εξουσιοδοτημένων προσβάσεων

Πολιτικές DAC, MAC, RBAC,… Σύνολο κανόνων που καθορίζει τι είδους πρόσβαση έχουν

τα υποκείμενα σε άλλα υποκείμενα/αντικείμενα3. Reference monitor

Επιβλέπει την υλοποίηση των πολιτικών εξουσιοδότησης Αποτελεί κομμάτι του πυρήνα (kernel) του Λ.Σ

4. Καταγραφή και Παρακολούθηση Ασφάλεια Αρχείων Καταγραφής και Πολιτικές Παρακολούθησης Ανίχνευση και Αποτροπή Εισβολών (IDS, IPS)

Βασικές ΈννοιεςΔικαιώματα Πρόσβασης (Permissions)

writereadappendexecuteobserve XX

alter XX

Δικαιώματα Πρόσβασης στο μοντέλο ασφάλειας των Bell-LaPadula

Δικαιώματα ΠρόσβασηςΠερίπτωση: Unix

1 : Τύπος αρχείου. 2 – 4 : Τα δικαιώματα του ιδιοκτήτη (owner). 5 – 7 : Τα δικαιώματα της ομάδας (group). 8 – 10 : Ta δικαιώματα των υπολοίπων (world).

Δικαιώματα Σημασία

- rwx rwx rwx Αρχείο. Όλοι δικαιούνται Ανάγνωση, Εγγραφή και Εκτέλεση

- rwx r-x r-x Αρχείο. Όλοι δικαιούνται Ανάγνωση και Εκτέλεση αλλά μόνο

ο ιδιοκτήτης δικαιούται εγγραφή.d rwx --- --- Φάκελος. Ο ιδιοκτήτης δικαιούται Ανάγνωση,

Εγγραφή, Εκτέλεση

Σε φάκελο: read: λίστα περιεχομένων write: δημιουργία, διαγραφή ή

μετονομασία αρχείων του φακέλου

execute: Πρόσβαση στον φάκελο (enter, open files,..)

Σε αρχείο: read: Ανάγνωση του αρχείου write: Εγγραφή στο αρχείο execute: Εκτέλεση του

αρχείου

Δικαιώματα ΠρόσβασηςΠερίπτωση: Unix

Βασικές ΈννοιεςΠίνακας Ελέγχου Πρόσβασης (Access Control Matrix)

Αφηρημένη έννοια: Ένας πίνακας με υποκείμενα, αντικείμενα, & τις ενέργειες (δικαιώματα) των υποκειμένων στα αντικείμενα

Ζητήματα Πλήθος υποκειμένων/

αντικειμένων (scalability) Ένα υποκείμενο μπορεί να

γίνει αντικείμενο σε κάποιο context

Για μεγαλύτερη ευελιξία, ο καθορισμός των δικαιωμάτων μπορεί να είναι προσανατολισμένος:

1. Στα Αντικείμενα Λίστες Ελέγχου Πρόσβασης2. Στa υποκείμενα (principals) Λίστες Δυνατοτήτων

*

Βασικές Έννοιες Λίστες Ελέγχου Πρόσβασης

Ποια δικαιώματα έχουν ποια υποκείμενα επάνω σε ένα αντικείμενο;

Ουσιαστικά αποτελεί θεώρηση ενός Πίνακα Ελέγχου Πρόσβασης ανά στήλες

Χρησιμοποιούνται ευρέως σε: Λ.Σ., Β.Δ.,… Εφαρμογές Πολιτικές πρόσβασης σε

δικτυακές συσκευές …

Βασικές Έννοιες Λίστες Ελέγχου Πρόσβασης (Access Control Lists) *

Βασικές Έννοιες Λίστες Ελέγχου Πρόσβασης (Access Control Lists)

(Tanenbaum & Van Steen, 2007).

Βασικές ΈννοιεςΛίστες Ικανοτήτων (Capability Lists) *

Βασικές ΈννοιεςΛίστες Ικανοτήτων (Capability Lists)

Ποια δικαιώματα έχει ένα υποκείμενο επάνω σε ποια αντικείμενα;

Ουσιαστικά αποτελεί θεώρηση ενός Πίνακα Ελέγχου Πρόσβασης ανά γραμμές

Παραδείγματα ~ Προνόμια χρηστών (Windows) ~Πιστοποιητικά ιδιοτήτων

(attribute certificates),…

Το σύστημα επιτρέπει στο υποκείμενο την πρόσβαση σε ένα αντικείμενο, σύμφωνα με τη λίστα δυνατοτήτων

Βασικές ΈννοιεςΛίστες Ικανοτήτων (Capability Lists)

(Tanenbaum & Van Steen, 2007).

Λίστες ΙκανοτήτωνCase: Attribute Certificates

http://www.vf.utwente.nl/~summer/security.html

Μοντέλα Εξουσιοδότησης

1. «Κατά Διάκριση» (DAC – Discretionary Access Control): Προσανατολισμένο στην ταυτότητα του υποκειμένου Διακριτικό: Ένα υποκείμενο μεταβιβάζει (ανακαλεί) δικαιώματα σε

(από) άλλα υποκείμενα για αντικείμενα που «κατέχει»2. «Κατ’ απαίτηση» (MAC-Mandatory Access Control):

Προσανατολισμένο στη διαβάθμιση αντικειμένων & υποκειμένων Ετικέτες ασφαλείας (classification labels) στα υποκείμενα και τα

αντικείμενα του συστήματος Υποχρεωτικό: Ένα υποκείμενο δεν μπορεί να μεταβιβάσει δικαιώματα

3. «Βασισμένη σε Ρόλους» (RBAC – Role based Access Control): Προσανατολισμένο στον ρόλο (ή ρόλους) που έχει ένα υποκείμενο Ρόλος: σύνολο από ενέργειες-ευθύνες

TCSEC (DOD, 1985)

(NIST Standard, 2001)

Εξουσιοδότηση «Κατά Διάκριση» Discretionary Access Control (DAC)

1. Κάθε αντικείμενο (πόρος) έχει έναν ιδιοκτήτη (υποκείμενο)

2. Ο ιδιοκτήτης διαχειρίζεται (μεταβίβαση/ανάκληση) δικαιώματα πρόσβασης γιαa) αντικείμενα που του ανήκουν, ήb) αντικείμενα που δημιουργεί

3. …καθορίζει το είδος πρόσβασης π.χ. ανάγνωση, εγγραφή,

εκτέλεση4. ...βάσει ταυτότητας υποκειμένου

που αιτείται πρόσβαση: Όνομα (π.χ. SID), Group

Παράδειγμα: O ιδιοκτήτης επιτρέπει την ανάγνωση του αρχείου από τον Bob, και από

μέλη της ομάδας Λογιστικής (Accounting)

Windows: Ενδιάμεσοι ΈλεγχοιΟμάδες (Groups)

ACL: Διαχείριση δικαιωμάτων ανά υποκείμενο: δύσκολη

Λύση: Ομάδες (Groups) – Απλοποιούν την εξουσιοδότηση

1. Χρήστες με «παρεμφερή» δικαιώματα πρόσβασης, θα καταχωρηθούν σε μια ομάδα

2. Στη συνέχεια, εφαρμόζεται η πολιτική εξουσιοδότησης στην ομάδα

Ομάδες χρηστών (Groups)

G1 G2 G3

S1 S2 S3 S4 S5

O1 O2 O3 O4 O5 O6

Υποκείμενα

Ομάδες

Αντικείμενα

Windows: Ενδιάμεσοι ΈλεγχοιΠρονόμια (Privileges)

Μια πολιτική ελέγχου πρόσβασης μπορεί να αναφέρεται στις λειτουργίες (operations) που μπορεί να αποτελέσει ένας χρήστης π.χ. Backup, shutdown, change time..

Ta προνόμια μπορούν να θεωρηθούν ως ενδιάμεσο στρώμα (layer) μεταξύ υποκειμένων & λειτουργιών

Άρνηση πρόσβασης στο χρήστη s1 για το αντικείμενο ο1 παρότι η πρόσβαση επιτρέπεται στην ομάδα g1. Policy conflict

Ομάδες και Άρνηση Δικαιώματος(Negative permissions - Deny) (Gollmann, 2010)

Άρνηση Δικαιώματος (Negative permissions -Deny)

http://securitytf.cs.kuleuven.ac.be/teaching/ClassicAccessControlTechniques.ppt

Εξουσιοδότηση DACΣυμπεράσματα

Πλεονεκτήματα Ευέλικτο μοντέλο Εύκολο στην

υλοποίηση Μειονεκτήματα

Οι χρήστες είναι υπεύθυνοι για την επιβολή της πολιτικής ασφαλείας

Δύσκολη διαχείριση

Classified

Non Classifie

d

Robert: read, write

Ivan: read, write

Read ClassifiedREJECTED!REJECTED!

Black is not allowed To access Classified

Ivan

Robert

http://my.fit.edu/~tgillett/swe5900/week1/Access%20Control%20Concepts.ppt

Εξουσιοδότηση DAC - Μελέτη ΠερίπτωσηςΕπίθεση Δούρειου Ίππου (Trojan horse attack)

(Sandhu, 1993)

Robert’s Robert’s ClassifiedClassified

Robert’s ClassifiedRobert’s Classified

Robert: read, writeRobert: read, write

Ivan, Robert: read, writeIvan, Robert: read, write

RobertRobert

IvanIvan

Address Address Book Book

ManageManagerr

Inserts Trojan HorseInserts Trojan HorseInto shared programInto shared program

Uses Uses shared shared programprogram

THTHReads Reads

ClassifieClassifiedd

THTHCopiesCopies

ClassifiedClassifiedTo Ivan’sTo Ivan’sDirectoryDirectory

http://my.fit.edu/~tgillett/swe5900/week1/Access%20Control%20Concepts.ppt

Εξουσιοδότηση DAC - Μελέτη ΠερίπτωσηςΕπίθεση Δούρειου Ίππου (Trojan horse attack)

Έλεγχος Ροής Πληροφορίας Information Flow Control

Έλεγχός ροής1. Αντιστοίχιση σε

υποκείμενα & αντικείμενα, ετικετών ασφάλειας (Security Labels)

2. Κανόνες στη ροή πληροφορίας μεταξύ οντοτήτων με διαφορετικές ετικέτες

Ροή πληροφορίας σε ένα σύστημα: Yποκείμενα απoκτούν πρόσβαση σε αντικείμενα, π.χ. : Διεργασίες

αρχεία/κατάλογοι Διεργασίες Διεργασίες Διεργασίες Εγγραφές ΒΔ …

Bad subject Object

Othersubject

Object

read

write

read

Higher level

Lower level

(Sandhu, 1993)

Information Flow Policies (Sandhu, 1993)

Ιnformation flow policy Α triple <SC, →, ⊕> where SC is a set of security classes → ⊆ SC x SC is a binary can-flow

relation on SC, and ⊕ : SC x SC →SC is a binary join

operator Examples

A → B (info can flow from A to B) A ↛ B (info cannot flow from A to

B) A ⊕ B = C (label objects that

contain info from A and B, with sec. label C)

(Denning, 1976)

Information Flow Policies (Sandhu, 1993)

Information Flow Policies (Sandhu, 1993)

: An information flow policy forms a finite lattice

(Denning, 1976)

(Figure 1 (b))

Orders and lattice

partial order of a set: binary relation that is transitive: a ≥ b and b ≥ c then a ≥ c reflexive: a ≥ a anti-symmetric/acyclic: a ≥ b and b ≥ a

then a = b

total order: like a chain (either a ≥ b or b ≥ a)

lattice: every pair of elements have a least upper bound, and a greatest lower bound

(DTM course - Daniel Trivellato, 2008)

Hasse diagrams depict a partial order

(Sandhu, 1993)

Information Flow Policies

A totally ordered lattice TS ≥ S ≥ C ≥ U There are no incomparable

classes A ⊕ B = max(A,B)

(Sandhu, 1993)

Information Flow Policies (Sandhu, 1993)

The two lattices (the totally ordered and the subset lattice) are often combined (military and government)

Levels: TS, S and TS > S

lub((TS, {Nuclear}), (S, {Nuclear, Chemical})) = glb((TS, {Nuclear}), (S, {Nuclear, Chemical})) =

(TS, {Nuclear, Chemical})(S, {Nuclear})

TS, {Nuclear, Chemical}

TS, {Nuclear} TS, {Chemical}S, {Nuclear, Chemical}

TS, {}

S, {}

S, {Nuclear} S, {Chemical}

the partial order dominates: (L1,C1) ≥ (L2,C2) iff L1 ≥ L2 and C2 C C1

Compartments: Nuclear, Chemical

The Product Lattice

(DTM course - Daniel Trivellato, 2008)

Εξουσιοδότηση «Κατ’ Απαίτηση» Mandatory Access Control (MAC)

Eυθύνη πολιτικής εξουσιοδότησης: Aπό το χρήστη στο σύστημα

Η πρόσβαση καθορίζεται, ελέγχοντας ετικέτες ασφάλειας (security labels)

Ετικέτες αποδίδονται σε υποκείμενα (security classifications),

Και σε αντικείμενα (security clearance)

Έμφαση: Eμπιστευτικότητα (Bell-Lapadula) Ακεραιοτητα (Biba)

(Sandhu, 1993)

Εξουσιοδότηση MACΤο Μοντέλο Bell-LaPadula

A. Το μοντέλο Bell-LaPadula Έμφαση στην εμπιστευτικότητα (confidentiality)1. No read up: Κανένα υποκείμενο δε μπορεί να διαβάσει

δεδομένα ενός υψηλότερου επιπέδου (simple security property)

2. No write down: Κανένα υποκείμενο δε μπορεί να γράψει δεδομένα σε ένα χαμηλότερο επίπεδο (*-property)

Εξουσιοδότηση «Κατ’ Απαίτηση» Mandatory Access Control (MAC)

(Bell and LaPadula, 1973)

A flow from object to subject

A flow from subject to object

(Sandhu, 1993)

http://isis.poly.edu/courses/cs996-management/Lectures/CS%20995%20ISM%20EVAL-2.ppt

Εξουσιοδότηση MACΤο Μοντέλο Biba

Στόχος: Προστασία «καθαρών» υποκειμένων/αντικειμένων από «βρώμικη» πληροφορία

B. Το μοντέλο Biba Έμφαση στην ακεραιότητα (integrity)1. No read-down: Κανένα υποκείμενο δε μπορεί να διαβάσει

δεδομένα από ένα χαμηλότερο επίπεδο (Single Integrity property)

2. No write-up: Κανένα υποκείμενο δε μπορεί να γράψει δεδομένα σε ένα υψηλότερο επίπεδο (Integrity *-property)

Εξουσιοδότηση «Κατ’ Απαίτηση» Mandatory Access Control (MAC)

(Biba, 1977)

(Sandhu, 1993)

Σημείωση: Ένα μοντέλο MAC μπορεί να συμπληρώνει και όχι απαραίτητα να αντικαθιστά ένα μοντέλο DAC (π.χ., O έλεγχος πρόσβασης MAC εκτελείται μετά από τον έλεγχο πρόσβασης DAC)

Biba

Cannot “write up”

Cannot “read down”

Μοντέλα ΜACΣενάριο Εφαρμογής (Bell-LaPadula)

O George μπορεί να διαβάσει όλα τα αρχεία/έγγραφα Η Joan δεν μπορεί να διαβάσει τα αρχεία προσωπικού O Henry μπορεί να διαβάσει μόνον τα logs & manuals O Henry δεν μπορεί να γράψει στα manuals

Επίπεδο Ασφάλειας

Subject Object

Top Secret George Personnel filesSecret Joan E-mailConfidential Henry Application logsUnclassified Mark System manuals

Εξουσιοδότηση «Κατ’ Απαίτηση» Mandatory Access Control (MAC)

(Sandhu, 1993)

Αρχή “Low watermark” Περίπτωση: LOMAC, 2000

Το σύστημα υποστηρίζει δύο επίπεδα ασφάλειας High Integrity

(π.χ. System files) Low Integrity

(π.χ. Network)Όταν μια διεργασία High δέχεται input από το δίκτυο, υποβιβάζεται στο επίπεδο Low

•http://www.gurulabs.com

Μοντέλο Biba - ΕπεκτάσειςΔυναμικές Πολιτικές

Windows Vista Mandatory Integrity Control (MIC)

Μια ετικέτα ασφάλειας (secu-rity label) μπορεί να περιέχει Επίπεδα Ασφάλειας

(Classifications, Clearances)

Κατηγορίες (Categories) Compartment:

Σύνολο από κατηγορίες

Least privilege: Οι κατηγορίες στις ετικέτες ασφάλειας, υπηρετούν την Αρχή της Αναγκαίας Γνώσης (Need to know)

Επεκτάσεις MACCompartmented security mode

*

Έλεγχος Πρόσβασης(164,287,292) Μοντέλα ΜAC

(Anderson, 2008) *

(Gollmann, 2010) *

Πλεονεκτήματα Το σύστημα ελέγχει την επιβολή της πολιτικής

εξουσιοδότησης και όχι οι χρήστες Καλύτερος έλεγχος στη ροή της πληροφορίας από ασφαλή

προς μη ασφαλή επίπεδα και αντίστροφα Αντιμετωπίζει με επιτυχία προβλήματα τύπου “επίθεση trojan

horse” Μειονεκτήματα

Έλλειψη ευελιξίας (στατικές πολιτικές)

Εξουσιοδότηση «Κατ’ Απαίτηση» Mandatory Access Control (MAC)

Protection Rings

0

12

3

Protection rings are mainly used for integrity protection.

Έλεγχος ΠρόσβασηςMultilevel & Multirateral Security

Μοντέλα: Chinese Wall, BMA,…

Συχνά, ο σκοπός δεν είναι να προστατέψουμε τη ροή της πληροφορίας «καθέτως» (δηλαδή, εντός ενός συστήματος), αλλά «οριζοντίως» (π.χ. μεταξύ διαφορετικών συστημάτων ή τμημάτων του ίδιου συστήματος

Multilateral Security

Μοντέλο Σινικού Τείχους (Chinese Wall)

Ο John συμβουλεύει την Bank A για επενδυτικά προγράμματα. H Bank B συμβουλεύει τον John για

επενδυτικά προγράμματα: Σύγκρουση συμφερόντων (COI-Conflict Of Interest)

Έλεγχος ΠρόσβασηςΜοντέλα ΜAC – To μοντέλο Clark-Wilson (1987)

Το μοντέλο Clark-Wilson επίσης κατηγοριοποιεί τα δεδομένα σε: Χαμηλής διαβάθμισης – UDI

(Unconstrained Data Items) Υψηλής διαβάθμισης – CDI

(Constrained Data Ιtem) Δίνει έμφαση στην ακεραιότητα

Οι ταυτοποιημένοι χρήστες (Users) επιτρέπεται να τροποποιούν τα UDI

Μια οντότητα (TP) τροποποιεί τα CDI εκ μέρους των χρηστών

(TP–Transformation Procedures)

Περίπτωση: ένα Σύστημα e-banking

Οι πληροφορίες λογαριασμού της Kathy

To profile της Kathy

Η Kathy ενημερώνει το profile της

Η TP ενημερώνει το λογαριασμό (Α) της Alice, ως συνέπεια της μεταφοράς 50$ από το λογαριασμό (Β) που η Alice διατηρεί στην τράπεζα

Έλεγχος ΠρόσβασηςΜοντέλα ΜAC – To μοντέλο Clark-Wilson

To μοντέλο Clark-Wilson

Η οντότητα IVP επαληθεύει την ορθότητα της συναλλαγής

(well-formed transactions) τη συνέπεια των καταστάσεων

(consistent states) H επαλήθευση γίνεται:

Εσωτερικά Η νέα τιμή των CDI είναι ορθή

Εξωτερικά Η αλλαγή στην κατάσταση

του συστήματος έγινε ορθώς

Η Kathy είχε 2000$ & κατέθεσε 50$, επομένως το νέο υπόλοιπο πρέπει να είναι 2050$

Η πίστωση του λογαριασμού Α της Alice με 50$, αντιστοιχεί στη χρέωση του λογαριασμού Β με 50$

To μοντέλο Clark-Wilson

Το μοντέλο επίσης υποστηρίζει:1. Καταγραφή συμβάντων

(auditing)2. Διάκριση Καθηκόντων

(Separation of duties)

π.χ. Αν ένας πελάτης μεταφέρει άνω των 10000$, το σύστημα απαιτεί την έγκριση από δύο οντότητες

•Όλες οι Συναλλαγές καταγράφονται

Towards a new access model…

Solution: RBAC Access is through roles Cases: Hospital, Bank,…

Advantages Extends old access model

(= users related to permissions)

Roles are relatively stable, while users come and go

Data abstraction: Emphasis to functions & information

Reduce complexity, cost, error in assigning user permissions

To Μοντέλο RBACRole-Based Access Control

Motivation DAC is too flexible

(allows wrong behaviour) Users do not “own” info for

which they have access Need for centrally controlling

and maintaining access rights

MAC is too rigid (extremely high security)

Gives emphasis on sensitivity labels of subjects & objects

* (Ferraiolo and Kuhn, 1992)

*,

Concern: Who reads/writes which info

Concern: Who owns which info

(NIST Standard, 2001)

*

*, *

Role-based Access Control (RBAC)

palace

weapons

uniform

AthosAthos

PorthoPorthoss

AramisAramis

D'ArtagnaD'Artagnann

Musketeer

palace

weapons

uniform

AthosAthosPorthosPorthosAramisAramis

D'ArtagnanD'Artagnan

DAC

RBAC

http://my.fit.edu/~tgillett/swe5900/week1/Access%20Control%20Concepts.ppt

(Rajput &Cherukuri, 1996)

To Μοντέλο RBACRole-Based Access Control

What is a Role? A job function or job title, with

associated semantics Stable: activities or functions

change less frequently Motivations for building a role

Competency for specific tasks Physician, Pharmacist

Authority and responsibility Project supervisor

Duty assignments rotated through multiple users

Duty physician, shift manager …

Roles vs Groups Groups: Collection of users

Role: Collection of users (one side) and of permissions (other)

Groups: Easier to see group members than group permissions

UNIX: Traversal of filesystem tree to see Group permissions

Groups: decentralized assignment of permissions

(Sandhu, 1997)

The RBAC Model Li et al, 2007)(Ferraiolo and Kuhn, 2009,

Role: Doctor Functions

1. Enter a diagnosis2. Prescribe medication (=read/write access to prescription files)3. Add an entry to a record of treatments performed on a patient4. ..

Members: Dr. A. V. Smith, Dr. M. Kein,… Role: Nurse

Functions1. Read treatments performed on a patient2. …

Members: Ms. D. J. Hail, Mr. A. Robins,… Role: Pharmacist

Functions1. Dispense (not prescribe) drugs (= read access to prescription files)2. …

Members: Ms. D. V. Mapel, Mr. A. F. Johnson,…

NIST RBAC Model (NIST Standard, 2001)

NIST RBAC Model1. Flat RBAC (also referred to as RBAC0 )

User: Human Being .Typically, he/she may cor-respond to one or more subjects (active user processes)

Role: Job function or job title Permission: High-level privilege; always positive.

Typically, translated to an operation to one or more system objects.

(NIST Standard, 2001)

(Sandhu, 1997)

(Sandhu, 1997)

(Ferraiolo et al, 1995)

*

SQL

Database – Update Insert Append Delete Locks – Open Close Reports – Create View Print Applications – Read Write Execute

Operations and Objects

Operation. An execution of an a program specific function that’s invocated by a user.

(Rajput &Cherukuri, 1996)

Object. An entity that contains or receives information, or has exhaustible system resources. OS Files or Directories DB Columns, Rows, Tables, Views Printer Disk Space Lock Mechanisms

(Ferraiolo et al, 1995)

User Assignment

Ένας χρήστης μπορεί ναΥποδύεται έναν ήΠερισσότερους ρόλους

Ανάπτυξη

Χρήστες Ρόλοι

Τεχνική Υποστήριξη

Ένας ρόλος μπορεί ναΑντιστοιχεί σε έναν ήΠερισσότερους χρήστες

When a new person enters the organization, admin grants him/her membership to an existent role

When a person’s function changes, the user membership to roles can be updated

When a person leaves the organization, all memberships to all roles are deleted

(Rajput &Cherukuri, 1996)(Ferraiolo and Kuhn, 2009)

User Assignment (Rajput &Cherukuri, 1996)♪

SUSERSxROLEUA

User.DB1ViewUpdateAppend

Users set

User.DB1

User.F1 permissionsobject

User.F1User.F2User.F3User.DB1Admin.DB1

Roles set

User.F1ReadWriteExecute

permissions object

Permissions

User Assignment aka: Role authorization

Association of a user to a role can be subject to the following Give user no more privilege

than necessary to his/her job Least Privilege Principle

Role is not mutually exclusive with another role he/she is member of

Not exceed numerical constraints that exist for role membership

…

(Ferraiolo et al, 1995)

*

Permission Assignment

A prms can be assigned to one or more roles

Admin.DB1

PRMS setROLES set

A role can be assignedto one or more prms

User.DB1

ViewUpdateAppend

CreateDeleteDrop

NIST RBAC Model 1. Flat RBAC – User Sessions (Sandhu, 1997)

(NIST Standard, 2001)

Session A mapping of one user to many

roles In a session, a user may choose to

(simultaneously) activate subset of roles he/she is member of

Session Permissions available: union of

permissions from activated roles A user should be allowed to login

to a system with necessary roles Least Privilege principle

(Sandhu, 1997)

Sessions (Rajput &Cherukuri, 1996)

The set of sessions that each user invokes.

USER

guest

user

admin

invokes SQL

DB1.table1

FIN1.report1

APP1.desktop

SESSION

Role Activation

A role can be activated if: User U authorized for the role

being proposed for activation Activation not mutually

exclusive with any other active role(s) of U

Proposed op authorized for role that is proposed for activation

Proposed operation is consistent with constraints

…

(Ferraiolo et al, 1995)

ANSI RBAC Standard1. Flat RBAC - Getting Formal..

(ANSI INCITS 359-2004)

NIST RBAC Model2. Hierarchical RBAC (also referred to as RBAC1 )

(NIST Standard, 2001)

(Sandhu, 1997)

Motivation When operations overlap,

hierarchies of roles can be established

Hierarchy Role-role relationship Models structure of enterprise Simplifies administration Manager role inherits

permissions of Clerk role A user assigned to Manager

role can activate the clerk role

(Ferraiolo et al, 1995)

Manager

Administrator

Clerk

(Rajput &Cherukuri, 1996)

Membership to Doctor, implies access to transactions defined by:

Intern, Healer, Doctor Membership to Healer:

access only to resources allowed under Healer

(Ferraiolo and Kuhn, 2009)Roles Hierarchy: Example

NIST RBAC Model2. Hierarchical RBAC (also referred to as RBAC1)

(NIST Standard, 2001)

(Sandhu, 1997)

Doctor

Cardiologist

“contains”“contains”

“contains”

Specialist

“contains”

Employee

Dermatologist

privilege

membership

NIST Secretary

ITL SecretaryMEL Secretary

CSD Secretary

Comp Security Division

a-Limited Hierarchies b-General Hierarchies

Jill

(Rajput &Cherukuri, 1996) (Rajput &Cherukuri, 1996)

Inverted trees do not allow

aggregation of resources from more

than one role

Issue: there can be no sharing of

resources between project 1 and project

2 roles

Senior roles (3a, 3b) aggregate too much power (what

about: fraud, mistakes?)

Hierarchical RBACLimited Inheritance

Private Role (Sandhu et al, 1996)*

Hierarchical RBACLimited Inheritance (Sandhu, 1997)

Correct: condition:

ANSI RBAC Standard2. Hierarchical RBAC-Getting Formal..

(ANSI INCITS 359-2004,

Correct: r ≥ r’

Li et al, 2007)

(Li et al, 2007)

NIST RBAC Model3. Constrained RBAC (also referred to as RBAC2)

(NIST Standard, 2001)

(Sandhu et al, 1996)

User assignment constraints Static SOD, max number of users/role, prerequisite roles,…

Permission assignment constraints

max number of roles/permission

Permission p is assigned to r only if r possesses q

ABAC (role-centric)

Session constraints Dynamic SOD, max no of activated roles Terminate session if inactive too long,…

Role hierarchy constraints Max number of senior roles /role

(Sandhu, 1997)

*

Constrained RBACSeparation of Duties (SOD)

Two flavours:1. Static SOD (mutually exclusive

roles) Compliance determined during

user-role assignment

2. Dynamic SOD Compliance determined during

roles activation in user sessions

System checks role AND user ID for checking access

Ferraiolo & Kuhn, 2009,

Problem: Fraud & errors from collaboration

between job related capabilities Conflict of Interest (COI) e.g., Initiate & authorize payment,

programmer and program tester,…Solution: Separation Of Duty (SOD)

Tasks partitioning among roles to prevent gathering much authority

Supports least privilege principle

No one who performs the initiator role could also perform the authorizer role

One can take both roles but not for a payment that he/she initiated !

NIST Standard, 2001)

(Sandhu, 1997,

Constrained RBACSeparation of Duties (SOD)

Constraints are inherited within a role hierarchy

(NIST Standard, 2001)

Constrained RBAC Dynamic SOD

User authorized as member of a set of roles, which:

don’t constitute COI when acted in independently,

.. do constitute COI when acted in simultaneously !

Dynamic SOD provides greater flexibility

(NIST Standard, 2001)

User can be member of 2 roles, but cannot be active to both at the same time!

ANSI RBAC Standard3. Constrained RBAC - Getting Formal.. (1/2)

(ANSI INCITS 359-2004, Li et al, 2007)

ANSI RBAC Standard3. Constrained RBAC - Getting Formal.. (2/2)

(ANSI INCITS 359-2004, Li et al, 2007)

NIST RBAC Model4. Symmetric RBAC

Level 1 Interface for the review of

user-role assignment Level 2

Interface for review of roles inherited by the assigned roles

Level 4 Interface for permission-role

review for a user or role Complete set of objects

associated with permissions …

(NIST Standard, 2001)

Motivation: Review permissions within the

enterprise. Scenarios: A user departs

Revoke permissions A user changes jobs or

responsibilities in enterprise Revoke and/or give new

Existing permissions obsolete …

♪

Role Engineering and Management

Role Engineering Develop an RBAC structure for

an organization Tasks:

1. Design roles in large systems1. What the users’ jobs are?2. Define minimum privileges

2. Assign Permissions to Roles3. Assign Users to Roles4. Assign roles to roles

(= define Hierarchies)5. Define & enforce Constraints6. Define policies for revoking

memberships, permissions

Challenges Who does it? Design roles in large systems,…

Future: Waiting for ISO standard

(Sandhu, 1997, Coyne et al, 2011)

*

(Dridi et al, 2004)

Role Engineering and Management (Dridi et al, 2004)

Role Engineering and Administration (Sandhu, 1997)

The ARBAC97 model for RBAC administration(Sandhu, 1997)

User-Role Assignment

Permission-Role Assignment

The ARBAC97 model for RBAC administration(Sandhu, 1997)

Role-Role Assignment

Future: Adding Attributes to RBAC

Motivation Support of dynamic attributes

(e.g. time of day, network address,…)

ABAC (attribute-based AC) Goal: Add attributes & rules to

make RBAC simpler and flexible

Option 7 (Dynamic Roles) Attributes used to determine

the subject’s role

(Kuhn et al, 2010)

Rule: Allow access if subject is teller working from 7.30 am to 5.00 pm

*

Option 8 (Attribute-centric) A role is just one of many

attributes Option 9 (Role-centric)

Attributes are added to constrain RBAC

Some of the Vendors Offering RBAC Products(Rajput &Cherukuri, 1996)

*, ♪

2. Άλλα Θέματα στον Έλεγχο Πρόσβασης

Έλεγχος Πρόσβασης –Στρώματα ΠροστασίαςAccess Control Layers

Διαχειριστικοί Έλεγχοι

Πολιτικές Διαδικασίες Διαχείριση

προσωπικού Εκπαίδευση &

επιμόρφωση Έλεγχος (Audit) Δοκιμές …

Φυσικοί Έλεγχοι Ασφάλεια

περιμέτρου (Φυσική)

Κατάτμηση δικτύου

Ασφάλεια συσκευών

Διαχωρισμός περιοχών εργασίας

Αντίγραφα δεδομένων

Καλωδίωση …

Λογικοί Έλεγχοι Πρόσβαση στο

σύστημα (Λογική) Κατάτμηση

δικτύου Πρόσβαση στο

δίκτυο Πρωτόκολλα

ασφάλειας Δοκιμές διείσδυσης Καταγραφή και

παρακολούθηση …

•http://www.hyperlearn.com

Έλεγχος Πρόσβασης –Στρώματα ΠροστασίαςAccess Control Layers

Α. Διαχειριστικοί Έλεγχοι Πολιτικές & Διαδικασίες Διαχείριση προσωπικού Εκπαίδευση & επιμόρφωση Έλεγχος

•http://www.hyperlearn.com

Πολιτικές: η θεώρηση της ασφάλειας από τη σκοπιά τη Διοίκησης.

Διαδικασίες, Πρότυπα & Οδηγίες: Υποστηρίζουν την πολιτική ασφάλειας

Άθρωποι: ο πλέον αδύναμος κρίκος στο πρόγραμμα

ασφάλειας. Η σωστή και συνεχής εκπαίδευση μπορεί

να μειώσει πολλούς κινδύνους

Ενέργειες (ως προς την ασφάλεια) κατά την

πρόσληψη, απόλυση, μετάθεση, προαγωγή κλπ.

Επίσης, διάκριση καθηκόντων, εναλλαγή θέσεων εργασίας κλπ

Συνεχείς δοκιμές και έλεγχος των μηχανισμών &

διαδικασιών ασφάλειας (π.χ. ασκήσεις ετοιμότητας για

φυσικές καταστροφές, συνεντεύξεις με υπαλλήλους,

…

Έλεγχος Πρόσβασης –Στρώματα ΠροστασίαςAccess Control Layers

Β. Φυσικοί Έλεγχοι Ασφάλεια περιμέτρου (Φυσική) Κατάτμηση δικτύου Ασφάλεια συσκευών Διαχωρισμός περιοχών εργασίας Αντίγραφα δεδομένων Καλωδίωση …

•http://www.hyperlearn.com

Φρουροί ασφάλειας, κλειστό κύκλωμα TV, φράχτες, ανιχνευτές

κίνησης κλπ

Π.χ. Κλειδαριές στο κάλυμμα του Η/Υ, αφαίρεση οδηγών

floppy & CD/DVD, ασφάλεια εκπομπών (emanation security),

…

Π.χ. οι Η/Υ με τις ΒΔ των πελατών τοποθετούνται σε συγκεκριμένη αίθουσα, με φυσική προστασία (π.χ.

τοίχος, πόρτες, κλειδαριά). Οι κόμβοι, patch panels,

δρομολογητές & δικτυακές συσκευές ομοίως.

Ομάδες υπαλλήλων με συναφείς αρμοδιότητες,

έχουν διακριτούς χώρους εργασίας. Η πρόσβαση σε κάθε χώρο προστατεύεται

με μέτρα φυσικής ασφάλειας

Διαδικασίες για τη λήψη, φύλαξη αντιγράφων, & ανάκτηση κρίσιμων δεδομένων μετά από ένα σφάλμα, επείγον περιστατικό, καταστροφή

κλπ

Είδος καλωδίων που θα επιλεγεί (π.χ. αντοχές κάθε τύπου σε παρεμβολές, θόρυβο &

υποκλοπές), διαδικασίες καλωδίωσης κλπ

Έλεγχος Πρόσβασης –Στρώματα ΠροστασίαςAccess Control Layers

Γ. Λογικοί Έλεγχοι Πρόσβαση στο σύστημα (Λογική) Κατάτμηση δικτύου Πρόσβαση στο δίκτυο Πρωτόκολλα ασφάλειας Δοκιμές διείσδυσης Καταγραφή και παρακολούθηση …

•http://www.hyperlearn.com

Τεχνικές Ταυτοποίησης (PKI, passwords, smartcards. Kerberos,

Radius), & Εξουσιοδό-τησης υποκειμένου (π.χ. έλεγχος ετικέτας

ασφάλειας σε MAC)

Παρακολούθηση (π.χ. συστήματα IDS), & καταγραφή (logging) των δραστηριοτήτων και των ενεργειών στο δίκτυο και στα συστήματα

Λογικός διαχωρισμός (π.χ. IP networks,

subnet masks, VLANs)

(Κυρίως) κρυπτογραφικά πρωτόκολλα για την προστασία της μυστικότητας, ακεραιότητας

& αυθεντικότητας των επικοινωνιών & των δεδομένων

Penetration testing: Διενέργεια επιθέσεων

(white hat) με σκοπό την διαπίστωση των ευπαθειών

του προγράμματος ασφάλειας

Routers, firewalls, switches, bridges,…

Έλεγχος Πρόσβασης –Στρώματα ΠροστασίαςAccess Control Layers

Ασφάλεια – Στρώματα ΠροστασίαςΠρόληψη – Ανίχνευση & Αντιμετώπιση (1)

Ασφάλεια – Στρώματα ΠροστασίαςΠρόληψη – Ανίχνευση & Αντιμετώπιση (2)

Εξουσιοδότηση (Authorization) Άλλα Κριτήρια για την Πρόσβαση (Access Criteria)

Σε ποια ομάδα (group) ανήκει το υποκείμενο; Ομάδα: λίστα υποκειμένων με

παρόμοιες αρμοδιότητες Ποια η ετικέτα ασφάλειας του

υποκειμένου; Ποιος ρόλος ζητεί πρόσβαση;

Ρόλος: αρμοδιότητα, ή λίστα αρμοδιοτήτων στην επιχείρηση

Ποια είναι η τοποθεσία (φυσική ή λογική) από όπου προέρχεται η αίτηση πρόσβασης;

Ποιος είναι ο χρόνος κατά τον οποίο γίνεται η αίτηση;

…

•http://ez.no/

Εξουσιοδότηση (Authorization) Άλλα Κριτήρια για την Πρόσβαση (Access Criteria)

Σε ποια ομάδα (group) ανήκει το υποκείμενο; Ομάδα: λίστα υποκειμένων με

παρόμοιες αρμοδιότητες Ποια η ετικέτα ασφάλειας του

υποκειμένου; Ποιος ρόλος ζητεί πρόσβαση;

Ρόλος: αρμοδιότητα, ή λίστα αρμοδιοτήτων στην επιχείρηση

Ποια είναι η τοποθεσία (φυσική ή λογική) από όπου προέρχεται η αίτηση πρόσβασης;

Ποιος είναι ο χρόνος κατά τον οποίο γίνεται η αίτηση;

…

http://ez.no/

H εκτύπωση σε αυτόν τον εκτυπωτή επιτρέπεται μόνον στα μέλη της ομάδας «Τμήμα

προμηθειών»

Ο ρόλος «Ελεγκτής αρχείων καταγραφής» έχει

δικαιώματα ανάγνωσης (και μόνον) στα αρχεία

καταγραφής Η πρόσβαση σε αυτόν τον Η/Υ επιτρέπεται μόνον με την τυπική διαδικασία εισόδου (alt-ctrl-del) –

interactive log on

Η πρόσβαση στη ΒΔ επιτρέπεται μόνον από

διευθύνσεις της μορφής: 195.130.X.X

Η πρόσβαση στα αρχεία μισθοδοσίας επιτρέπεται μόνον

κατά τις ώρες 8.00-17.00

Πολιτικές ΕξουσιοδότησηςRule-Based Access Control

Ένα σύνολο κανόνων καθορίζει τη σχέση υποκειμένων & αντικειμένων

Οι κανόνες δεν είναι πάντα προσανατολισμένοι στην ταυτότητα του υποκείμενου π.χ. επηρεάζουν όλους τους

χρήστες Ευρέως χρησιμοποιούμενοι σε

routers, firewalls, proxies,…

IF X AND/OR Z THEN Y

AN ο χρήστης συνδέεται μεταξύ Δευτέρας & Παρασκευής, KAI

μεταξύ 8 Α.Μ. και 5 P.Μ, KAI

το επίπεδο ασφάλειας του χρήστη είναι μεγαλύτερο ή ίσο του αντικειμένου, ΚΑΙ

η κατηγορία του είναι ίδια με την κατηγορία του αντικειμένου ( “need to know”), ΤΟΤΕ

H πρόσβαση επιτρέπεται

π.χ: Μια πολιτική της επιχείρησης καθορίζει:

τα συνημμένα αρχεία δεν μπορούν να έχουν μέγεθος πάνω από 5ΜΒ.

Ένας κανόνας στον mail server επιβάλλει την πολιτική σε όλους τους χρήστες

Πολιτικές ΕξουσιοδότησηςConstrained User Interfaces (1/2)

Η πολιτική επιβάλλεται με κατάλληλους περιορισμούς στο interface του χρήστη

Διαφορετικές όψεις του

ίδιου πίνακα

Πολιτικές ΕξουσιοδότησηςConstrained User Interfaces (2/2)

Μενού Επιλογών (Menus)

Κέλυφος Λ.Σ. (Shells)

Όψεις ΒΔ (Database Views)

Φυσικοί περιορισμοί

Οι επιλογές των χρηστών περιορίζονται στις εντολές που

μπορούν να εκτελέσουν

Το interface του χρήστη με το Λ.Σ. Ένα περιορισμένο κέλυφος (restricted shell)

περιέχει μόνον τις εντολές που καθορίζει ο Διαχειριστής

π.χ. ορισμένα πεδία & εγγραφές της βάσης, δεν είναι ορατά σε

συγκεκριμένους τύπους χρηστών

π.χ. Σε κάθε μηχάνημα ATM, η επικοινωνία με το Λ.Σ. περιορίζεται (με φυσικό τρόπο)

στις επιλογές που προσφέρει το πληκτρολόγιο

Πολιτικές Εξουσιοδότησης{Content, Context} -dependent AC

Εξουσιοδότηση με βάση το Περιεχόμενο (content) H πρόσβαση καθορίζεται από

το περιεχόμενου του αντικειμένου

Όψεις ΒΔ, φίλτρα spam, έλεγχος περιεχομένου Web,…

Έλεγχος Πρόσβασης με βάση το Πλαίσιο (context) Η πρόσβαση καθορίζεται

από πληροφορίες που σχετίζονται με την πρόσβαση

π.χ. Stateful firewalls,…Η πολιτική καθορίζει:

Οι διευθυντές έχουν πρόσβαση στις εγγραφές της ΒΔ για τη μισθοδοσία των υπαλλήλων τους

Αν ο διευθυντής Α ζητήσει πρόσβαση στα δεδομένα του υπαλλήλου Χ, το σύστημα DBMS ελέγχει τα περιεχόμενα της εγγραφής για να διαπιστώσει αν ο Χ δουλεύει για τον Α

Διαχείριση Ελέγχου Πρόσβασης (Access Control Administration)

Δύο προσεγγίσεις

1. Συγκεντρωτικά συστήματα

2. Αποκεντρωμένα συστήματα

Πού λαμβάνονται οι

αποφάσεις; Όλες οι αιτήσεις πρόσβασης προωθούνται σε μια κεντρική οντότητα (π.χ. Kerberos)

Οι αποφάσεις για την έγκριση ή την απόρριψη της αίτησης πρόσβασης λαμβάνονται σε σημεία που βρίσκονται “κοντά” ως προς τα αντικείμενα

(ή, Κεντρικής διαχείρισης)

RADIUS

Remote Authentication Dial- In User Service

RADIUS

Βήμα 1: Ο χρήστης Χ και ο AS συμφωνούν σε ένα πρωτόκολλο αυθεντικοποίησης (PAP, CHAP, EAP) Πρωτόκολλα Challenge-

Response Βήμα 2: Ο χρήστης Χ υποβάλει

το username & password στον AS Βήμα 3: ο AS επικοινωνεί με τον RS, με το πρωτόκολλο RADIUS Ο AS στέλνει τα διαπιστευτήρια (credentials) του Χ στον RS O RS κάνει δεκτή ή απορρίπτει την αίτηση πρόσβασης, & καθορίζει τα

δικαιώματα πρόσβασης για τον Χ (εξουσιοδότηση) Βήμα4: Αν η πρόσβαση γίνει δεκτή, τότε ο RS αποστέλλει στον Χ,

μέσω του AS, μια διεύθυνση IP, καθώς & άλλες παραμέτρους για τη σύνδεση.

Αρχή «Ελάχιστων Προνομίων» &Αρχή «Αναγκαίας Γνώσης»

Αρχή «Least Privilege» Οι εφαρμογές πρέπει να

εκτελούνται με τα ελάχιστα δικαιώματα που απαιτούνται

Αρχή «Need to Know» Ta υποκείμενα έχουν

δικαίωμα πρόσβασης στην πληροφορία που είναι απολύτως απαραίτητη για τη διεκπεραίωση μιας εργασίαςΗ Διοίκηση (ή οι Ιδιοκτήτες αγαθών)

αποφασίζουν ποια είναι τα απολύτως αναγκαία δικαιώματα πρόσβασης για

έναν χρήστη στα αγαθά

Ο Διαχειριστής Ασφάλειας επιβάλλει τους περιορισμούς αυτούς κατά την κατάρτιση

των δικαιωμάτων πρόσβασης

Περίπτωση: Το πρόγραμμα system restore έχει δικαιώματα εγγραφής στα

αρχεία συστήματος, αλλά δεν έχει δικαίωμα ανάγνωσης

Περίπτωση: Το πρόγραμμα system backup έχει δικαιώματα ανάγνωσης στα αρχεία συστήματος, αλλά δεν μπορεί να

τα τροποποιήσει

Εξουσιοδότηση – A Fail-Secure Αpproach

Αν το σύστημα δεν μπορεί να αποφασίσει τι είδους πρόσβαση πρέπει να αποκτήσει ένα υποκείμενο, η προεπιλογή (default) πρέπει

να είναι:

“Η Πρόσβαση Απαγορεύεται”

3. Καταγραφή, Παρακολούθηση, Ανίχνευση

(Logging, Monitoring, Intrusion Detection)

ΑσφάλειαΗ Έννοια της Υπευθυνότητας (Accountability)

Οι διαδικασίες παρακολούθησης (monitoring), καταγραφής (logging) & ελέγχου (audit)1. Καθιστούν χρήστες υπεύθυνους

για τις πράξεις τους2. Επαληθεύουν εάν οι πολιτικές

ασφάλειας εφαρμόζονται3. Χρησιμεύουν ως εργαλεία

έρευνας (investigation tools) κατόπιν ενός συμβάντος,…

Οι διαδικασίες αυτές αφορούν δραστηριότητες χρηστών, συστημάτων & εφαρμογών,.. Οι δυνατότητες μπορεί να

είναι ενσωματωμένες σε Λ.Σ. ή/και σε ειδικές εφαρμογές

•cwwatch.files.wordpress.com

Η Έννοια της Υπευθυνότητας (Accountability)Καταγραφή (Logging)

Γεγονότα (σε επίπεδο Συστήματος) Απόδοση Συστήματος Απόπειρες εισόδου (επιτυχείς &

ανεπιτυχείς) ID (username) επιτυχών συνδέσεων Συσκευές που χρησιμοποιήθηκαν Αλλαγή ρυθμίσεων συστήματος …

•http://bellsouthpwp.net

Η Έννοια της Υπευθυνότητας (Accountability)Καταγραφή (Logging)

Γεγονότα (σε επίπεδο Εφαρμογής) Μηνύματα σφαλμάτων Λίστα αρχείων (που ανοίχτηκαν ή έκλεισαν) Τροποποίηση αρχείων Παραβιάσεις στην ασφάλεια …

•http://www.eclipse.org

Η Έννοια της Υπευθυνότητας (Accountability)Καταγραφή (Logging)

Γεγονότα (σε επίπεδο Χρήστη) Απόπειρες εισόδου Λίστα αρχείων, υπηρεσιών & άλλων πόρων που

αιτήθηκε Παραβιάσεις στην ασφάλεια …

•http://www.eclipse.org

Καταγραφή (Logging) Χρήση συστημάτων IDS (195)

•http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/selinux-guide/figs/rhl-common/tools-policy/seaudit-plain.png

Καταγραφή (Logging) Θέματα ασφάλειας

Τα αρχεία καταγραφής παρουσιάζουν ιδιαίτερο ενδιαφέρον από τη σκοπιά της ασφάλειας !!! Φύλαξη & αποθήκευση τους Μη εξουσιοδοτημένη πρόσβαση και τροποποίηση τους,…

•http://www.exacttrend.com/wmslogstorage/screenshot.gif

Καταγραφή Θέματα ασφάλειας

(Bellare & Yee, 1997)

Ta log entries είναι της μορφής

Χρόνος: χωρίζεται σε περιόδους, & κάθε περίοδος (epoch) i έχει το δικό της κλειδί Ki για αυθεντικοποίηση των log entries της περιόδου

Στο τέλος της κάθε περιόδου1. Κi = hash (Ki-1)2. Διαγραφή του Ki

Οποιαδήποτε χρονική στιγμή, το K0 (base key) χρησιμοποιείται για την επαλήθευση των log entries To K0 φυλάσσεται αλλού !

•http://www.exacttrend.com/wmslogstorage/screenshot.gif

Χρήση κρυπτογραφικού MAC (Message Authentication Code) για την αυθεντικοποίηση των εγγραφών στο αρχείο καταγραφής με πρόσθια ακεραιότητα (Forward Integrity)

Event Date

… …event1 28-02-2008

Καταγραφή Θέματα ασφάλειας

(Bellare & Yee, 1997)

•http://www.exacttrend.com/wmslogstorage/screenshot.gif

Event Epoch Date Footprint

… … …event1 1 28-02-2008 MAC(K1, event1,

date1)event2 1 29-02-2008 MAC(K1, event2,

date2)event3 2 01-03-2008 MAC(K2, event3,

date3)

… … …Aν ο εχθρός αποκτήσει πλήρη πρόσβαση στο σύστημα, με δικαιώματα administrator, δεν θα μπορεί να «πάει πίσω» στο χρόνο και να αλλάξει τα log entries (Forward Integrity) !

Έλεγχος (Audit)Χρήση συστημάτων IDS (195)

Τa αρχεία καταγραφής μπορούν να ελεγχθούν χειρονακτικά ή με αυτόματο τρόπο π.χ. κατόπιν μιας επιτυχούς

παραβίασης στην ασφάλεια Ειδικά εργαλεία, αναλαμβάνουν

την επεξεργασία των αρχείων με σκοπό την εξαγωγή γνώσης Audit trail analysis

Εναλλακτικά, ένα σύστημα IDS ελέγχει σε πραγματικό χρόνο για «ύποπτη» δραστηριότητα Ρύθμιση κατωφλίου ασφάλειας

(threshold) για μείωση ψευδών αναφορών (FAR, FRR)

Δυνατότητα ειδοποίησης (alarm) σε πραγματικό χρόνο

Audit Trail Analysis ToolsAudit Reduction

•http://manageengine.adventnet.com/products/eventlog/images/PCI.jpg

Ανάλυση Αρχείων ΚαταγραφήςAudit Trail Analysis

Τρεις κατηγορίες1. Audit reduction

Φιλτράρουν τα αρχεία καταγραφής με σκοπό την ανάδειξη χρήσιμης πληροφορίας

2. Anomaly detection (ή, Behaviour-based) Εύρεση ανωμαλιών ή ισχυρών

διαφοροποιήσεων από «κανονικές συνθήκες» λειτουργίας

3. Signature detection (ή, Knowledge-based) Αναζήτηση σε μια ΒΔ για την εύρεση

γνωστών αποτυπωμάτων επίθεσης

π.χ. Έστω το ωράριο του υπαλλήλου Χ είναι 8.00 –

17.00. Αν καταγραφεί είσοδος στο σύστημα στις

03.00, το γεγονός αυτό ίσως σημαίνει επίθεση

Παρακολούθηση & ΈλεγχοςΣυστήματα IDS

Ανίχνευση Εισβολής Ανίχνευση μη εξουσιοδοτη-

μένης χρήσης, επίθεσης ή άλλων ύποπτων ενεργειών…

… σε Π.Σ & δίκτυα .. με σκοπό την ενημέρωση

του διαχειριστή & τη λήψη μέτρων που θα μειώσουν ή αποτρέψουν τις συνέπειες μιας επίθεσης

Ένα σύστημα IDS μπορεί να ελέγχει σε πραγματικό χρόνο την κίνηση σε σύστημα ή δίκτυο Αυτόνομη λειτουργία, ή

επεξεργασία αρχείων καταγραφής (Η/Υ ή δικτύων)

Παρακολούθηση & Έλεγχος Συστήματα IDS

Ανίχνευση Εισβολής Ανίχνευση μη εξουσιοδοτη-

μένης χρήσης, επίθεσης ή άλλων ύποπτων ενεργειών…

… σε Π.Σ & δίκτυα .. με σκοπό την ενημέρωση

του διαχειριστή & τη λήψη μέτρων που θα μειώσουν ή αποτρέψουν τις συνέπειες μιας επίθεσης

Ένα σύστημα IDS μπορεί να ελέγχει σε πραγματικό χρόνο την κίνηση σε σύστημα ή δίκτυο Αυτόνομη λειτουργία, ή

επεξεργασία αρχείων καταγραφής (Η/Υ ή δικτύων)

Στο σχήμα, o όρος σύστημα μπορεί να αναφέρεται σε οποιοδήποτε από τα εξής:

Σταθμός Εργασίας, Δικτ. Συσκευή, Server, Mainframe, Firewall, Web server,

δίκτυο επιχείρησης κλπ

Παρακολούθηση & ΈλεγχοςΣυστήματα IDS

Δομή ενός Συστήματος IDS

Αισθητήρες

Αναλυτές

Διεπαφή Διαχειριστή

•Συλλέγουν δεδομένα κίνησης και δραστηριότητας χρήστη (user activity) και τα αποστέλλουν σε έναν αναλυτή

•Ο αναλυτής επεξεργάζεται τα δεδομένα με σκοπό τον εντοπισμό «πιθανής» ύποπτης

δραστηριότητας

•H κονσόλα του διαχειριστή για τον έλεγχο των αισθητήρων & του

αναλυτή, καθώς και για την προσαρμογή των ρυθμίσεων

αποστολής ειδοποιήσεων(Administrator interface)

(Analyzers, Detectors)

(Sensors)

•Τα συστήματα IDS μπορούν να κατηγοριοποιηθούν με βάση την εμβέλεια τους, καθώς και με βάση τις τεχνικές που χρησιμοποιεί ο αναλυτής

Συστήματα IDS

1. Υπολογιστικού Συστήματος (Host-based IDS) – HIDS Εγκαθίσταται σε

μεμονωμένα συστήματα (hosts, servers) & ανιχνεύουν "ύποπτες" ενέργειες

Σβήσιμο αρχείων, αλλαγή ρυθμίσεων συστήματος, κλήσεις συστήματος, κίνηση πρωτοκόλλων επιπέδου εφαρμογής κλπ

•http://www.atmarkit.co.jp/fsecurity/rensai/snort01/snort.gif

Συστήματα IDS

Μια NIC σε promiscuous mode αντιγράφει κάθε είδος δικτυακής κίνησης και το προωθεί

σε ανώτερο επίπεδο της στοίβα των πρωτοκόλλων για επεξεργασία

•http://gentoo-wiki.com/images/4/41/HubNIDS.png

2. Δικτυακά (Network-based IDS) - NIDS1. Η/Υ με εξειδικευμένο

λογισμικό, 2. ή εξειδικευμένες συσκευές

H δικτυακή διεπαφή (NIC) λειτουργεί «αδιακρίτως» (promiscuous mode)

Συστήματα IDS (202) – also look at the papers

(Debar et al, 1999)

Συστήματα IDS (Intrusion Detection) και IPS (Intrusion Prevention)

Βιβλιογραφία Μαθήματος

D. Gollman, Computer Security. 3rd Edition, 2010. R. Anderson. Security Engineering, 2nd Edition, 2008 Hacking Exposed 5th Edition, McClure, Scambray and Kurtz, 2005 Firewalls and Internet Security, 2nd Edition. Bellovin et al, 2003. D. Chaum. Secrets and Lies – Digital Security in a Networked world. 2001 Role-Based Access Control (RBAC): Features and Motivations. 1995. Προβλήματα Ασφάλειας στο Ηλεκτρονικό Εμπόριο. Δρ. Χ. Κ. Γεωργιάδης.

Σημειώσεις μαθήματος, Παν. Θεσσαλίας, 2003. http://inf-server.inf.uth.gr/courses/CE600/HE-B-plires-MHYDT2003.pdf

Εισαγωγή στον Έλεγχο Πρόσβασης, Τμήμα Πληροφορικής, Α.Π.Θ, http://www.csd.auth.gr/~oswinds/dopsys/week10b.pdf

National Computer Security Center (NCSC), A guide to understanding discrentionary access control in trusted systems, 30 September 1987, http://www.radium.ncsc.mil/tpep/library/rainbow/NCSC-TG-003.html#HDR6%20%20%202%2014